Es war zuvor bereits kaum empfehlenswert, wenn Unternehmen ihre Bestandsrollen einfach 1:1 nach S/4HANA migrieren. Mit dem neuen SAP-Lizenzmodell sind zu großzügig gesetzte Berechtigungen künftig aber nicht mehr allein sicherheitstechnisch brisant, sondern führen zur regelrechten Kostenexplosion. Worauf ist beim Umstieg mit Blick auf das neue Lizenzmodell also mehr denn je zu achten? [...]
Eine Unternehmensumfrage im Rahmen der IT-Onlinekonferenz Ende Januar zur Überprüfung von SAP-Berechtigungsrollen bestätigt den Eindruck folgenreicher Unkenntnis: Gut 65 Prozent der Unternehmen prüfen diese nur unregelmäßig, teilweise oder überhaupt nicht.
Und bezeichnende 20 Prozent wollen oder können dazu keine Angaben machen, was erfahrungsgemäß auf Ersterem beruht. Denn viele sind sich der Konsequenzen des neuen Lizenzmodells für die Migration einfach nicht bewusst, und das sollte sich schleunigst ändern.
Der Status quo
Betrachtet man, wie Berechtigungsprojekte über die letzten 25 Jahre SAP verliefen, ergibt sich: Klassischerweise wurde kurz vor knapp ein Berechtigungskonzept definiert, das irgendwie compliant funktioniert, und Rollen dann so gebaut, dass die Anwender nutzen konnten, was sie sollten.
Niemand hat Gedanken daran verschwendet, dass es verschiedene Zugriffstechnologien geben und welche monetären Auswirkungen dies haben könnte. Aber genau das ist jetzt der Fall in S/4HANA-Projekten: Neue Technologien setzen entsprechende Szenarien voraus, das SAP-Lizenzmodell wurde immer komplexer und ändert sich nun grundlegend.
Klar ist, dass die Frage der Lizenzierung bei der technischen Zuweisung von Berechtigungen in den meisten Unternehmen vernachlässigt wird. In vielen werden Lizenzkosten überhaupt erst seit Kurzem an einzelne Abteilungen weiterverrechnet, was im Endeffekt dazu geführt hat, dass Berechtigungen ausufern.
Bei manchen Projekten trifft man auf User mit 200 bis 500 Berechtigungen. Benötigt werden davon allenfalls 25 Prozent. Werden Kunden nun gefragt, mit welchem Lizenzmodell und Berechtigungskonzept sie den Wechsel zu S/4HANA vorbereiten, dann wissen diese meist gar nicht, was die Wahl zwischen einer Product- und einer Contract Conversion in letzter Konsequenz bedeutet. Wo liegen also die Herausforderungen bei S/4HANA-Umstellungen und neuem Lizenzmodell?
Die Contract Conversion
Contract Conversion bedeutet vereinfacht gesagt die Ablösung der Bestandsverträge. Hier nimmt man die bestehenden Verträge, den Lizenz- und auch den Softwarewert, der in diesen Lizenzen und Verträgen steht, zusammen und bewertet sie. Dieser Wert kann mit bis zu 98 Prozent auf die Neuanschaffung angerechnet werden.
Es wird dann für S/4HANA ein neuer Vertrag erstellt und dieser gilt fortan mit all seinen Folgen. Entscheidend ist dabei: Im Bereich S/4HANA basiert die Lizenzierung nun auf theoretischen Berechtigungen und nicht mehr auf der tatsächlichen Nutzung, die vom User verursacht wurde.
Dafür zeichnet die SAP über einen Zeitraum von per Standardeinstellung drei Monaten auf, auf welche Berechtigungen ein User im System Zugriff gehabt haben könnte, wofür dann allein aufgrund potenzieller Nutzung eine Lizenz fällig wird.
Relevant ist dann nicht mehr die tatsächlich genutzte Transaktion, sondern alles, was man theoretisch mit seinen Berechtigungen hätte tun können. Und das kann bei einem großzügig gesetzten Berechtigungskonzept äußerst problematisch werden. Zusätzlich sind Tools, die bis dato sehr verlässliche Ergebnisse zur Optimierung von SAP-Lizenzen lieferten, mit dem neuen Lizenzmodell obsolet geworden.
Die Product Conversion
Product Conversion bedeutet, dass alte Verträge (zunächst) bestehen bleiben. Im Gegensatz zur Contract Conversion ist es hier möglich, die bestehenden Verträge mit der SAP und damit eben auch deren Bedingungen zur Lizenzierung beizubehalten.
Neue Produkte aus S/4HANA werden dann hinzugefügt, das heißt, wer eine neue Engine nutzen will, die es nur unter S/4HANA gibt, kauft diese hinzu und lizenziert sie entsprechend. Aber er verbleibt mit seinen Nutzungslizenzen mehr oder weniger im ECC-Bereich und vermisst weiterhin nach Verbrauch und nicht nach Berechtigung.
Es findet damit natürlich aber auch keine Wandlung aus bestehenden Lizenzen wie bei der Contract Conversion statt. Zunächst wird also an das Bestehende einfach nur ein Vertrag über den konkreten Zukauf angefügt und die Lizenzierung basiert weiterhin auf tatsächlicher Nutzung.
Die Konsequenzen
Das Bisherige könnte zu dem Schluss verleiten, wenn man die Product Conversion wählt, bleibt alles, was das Thema Berechtigungen angeht, erst mal beim Alten, nur mit der Contract Conversion holt man sich die geschilderte Problematik ins Haus.
Das ist aber in vielerlei Hinsicht zu kurz gedacht. Zum einen, weil es in den neuen Modellen neue Anwendungen gibt, während andere wegfallen, und wenn man dann Rollen baut, die kleinste Änderung dazu führen kann, dass diese nicht mehr lizenzkompatibel sind, was die entsprechenden Konsequenzen hat.
Zum anderen: Wenn man eine Product Conversion betreibt, zeigt die Erfahrung, dass die benötigten Berechtigungen für die neu hinzugekauften Produkte meist einfach zu den alten Rollen hinzugefügt werden.
Das heißt, es findet kaum eine Auseinandersetzung mit den bestehenden SAP-Rollen statt, mit der Folge, dass nicht mehr benötigte Berechtigungen weiterhin nicht entfernt werden. Was die Rolle angeht, wird diese erweitert, statt sie auf ein gesundes Maß zu reduzieren.
Die tiefgreifenden Folgen des Wechsels von verbrauchs- zu berechtigungsbasierter Lizenzierung werden von den meisten SAP-Kunden fatal unterschätzt.
Ralf Kempf
Selbst wenn man die eindringlichen Warnungen der Sicherheitsexperten weiterhin ignoriert, gilt: Ausufernde Berechtigungen werden mittelfristig sehr, sehr teuer. Dabei zeigt die Erfahrung: Im Schnitt braucht ein User 75 Prozent der ihm zugewiesenen Berechtigungen überhaupt nicht. Das ist zumindest finanziell noch unproblematisch, solange auf Verbrauch lizenziert werden kann.
Da man aber später auf Berechtigungen lizenzieren muss, und das wird passieren, entscheidet ja nicht mehr das Did-do eines Users, sondern ausschließlich das Could-do. Und dann werden diese 75 Prozent, die nie benutzt wurden, mit eingerechnet. Die Erfahrung der letzten Jahre im Bereich ECC hat gezeigt, dass diese Änderungen definitiv kommen werden, auch wenn der Aufschrei in der DSAG und anderen Gremien groß sein wird.
Der Best Practice Ansatz
Wie achtet man dann aber zukunftssicher auf Berechtigungen und Lizenzen im Projekt Rollenmigration? Die klare Antwort ist: Alles außer einem Greenfield-Ansatz macht bei S/4HANA-Berechtigungen nun keinen Sinn mehr! Hier bringt es auch nichts zu sagen, wir räumen auf, weil dies nicht so gründlich erfolgt wie eine Neuerstellung.
Der richtige Ansatz eines Best Practice ist, über eine Verbrauchsanalyse aller Nutzer im aktuellen System festzustellen, was haben wir wirklich gebraucht, sowie eine Rollenanalyse im Nachgang der Verbrauchsanalyse durchzuführen. Und dann zu klären, wie bilden die aktuellen Rollen den tatsächlichen Verbrauch ab? Dann erfolgt die Neuzuordnung der Lizenzen aufgrund der Verbrauchsanalyse.
Und dafür sind zum jetzigen Zeitpunkt Tools wie die von Pathlock unverzichtbar für die kontinuierliche Kontrolle der Ergebnisse. Das bezieht sich sowohl auf die Analyse dessen, was gebraucht wird, als auch auf die Ergebnisse bei der Neuerstellung der Rolle und der Berechtigungen.
Eine Empfehlung zum Schluss
Die SAP bietet jetzt ein Tool, mit dem man auf Knopfdruck ermittelt, ob eine Rolle teuer wird. Man kann sich dafür unverbindlich registrieren und die dazugehörige Excel-Tabelle zeigt, welches Berechtigungsobjekt in welcher Ausprägung welchem Lizenztyp zugeordnet ist. Und man kann einen Testlauf nutzen, der ausgibt, aktuell wäre eine S/4HANA-Lizenz exakt so teuer.
Gut möglich, dass dieses Tool für die meisten Unternehmen einen erheblichen Schreckmoment und notwendigen Weckruf bereithält.
*Ralf Kempf, CTO Sast Solutions und Vice President ABAP Architecture bei Pathlock berät mit rund 500 Mitarbeitenden an 15 Standorten weltweit mehr als 1.200 Kunden.
Be the first to comment